Modulo V BCP Seguridad Física
Modulo V BCP Seguridad Física
Modulo V BCP Seguridad Física
INFORMATICA
Modulo V
Business Continuity Planning
Clientes y
Proveedores Procedimientos
Terceras Partes
Personal y otros Activos
Físicos
Tecnología de Información
RED DE CORE
PROVEEDO BUSINESS RED DE
RES CLIENTES
MEJORAR LA EFICIENCIA
Y EL CONTROL CAMBIOS EN
OPERACIONES PARA
MEJORAR ENTREGA/
PRODUCCION
Modulo V Business Continuity Planning
DEFINICIÓN
• Plan de Continuidad del Negocio
(BCP) es la identificación y protección
de los procesos críticos de negocio
que son requeridos para mantener un
nivel aceptable de operación en
ocurrencia de un evento súbito que
genere interrupciones inesperadas en
estos procesos y sus recursos de
soporte.
Impacto en
el Negocio
COSTO
Estrategia
óptima
Costo de
recuperación
TIEMPO
Modulo V Business Continuity Planning
SECUENCIA
Fuente: NIST
Fuente: NIST
• SINIESTROS CATASTROFICOS
• Terremoto
• Temblor
• Anegación
• Inundación
• Incendio por tormenta
• eléctrica
• Incendio por otras causas
• Explosiones por gas/
• combustibles
Distribución
Industrias Diversas
Manufactura
Seguros
Promedio Industrias
0 1 2 3 4 5 6 Días
Fuente: NIST
• Centros de outsourcing
Microsoft Word
Document
MEMORIA PRINCIPAL
MEMORIA PRINCIAL
COMUNICACIONES
COMUNICACIONES
DISCOS DUROS (8)
UNIDAD DISKETTE
UNIDAD DE CINTA
UNIDAD DE CINTA
BASES DE DATOS
BASES DE DATOS
UNIDAD DE CD
UNIDAD DE CD
PROCESADOR
PROCESADOR
DISCO DURO
APLICATIVO
APLICATIVO
OPERATIVO
OPERATIVO
TECLADO
TECLADO
MONITOR
MONITOR
MOUSE
SINIESTRO
TERREMOTO
CATASTROFICOS
TEMBLOR
SINIESTROS
ANEGACION
INUNDACION
INCENDIO POR TORMENTA ELECTRICA
INCENDIO POR OTRAS CAUSAS
EXPLOSIONES POR GAS/COMBUSTIBLES
FALLA EN COMUNICACIONES
FALLA SUMINISTRO DE AGUA
FALLA EN HARDWARE
S/W Y COMUNIC.
FALLAS EN SOFTWARE
• Agua:
Explosiones en tubos
Lluvia
Activación sistemas de extinción
Humedad
Pérdida suministro
Inundaciones externas
• Fuego:
Daños en elementos de
extinción
Incendio accidental
Incendio provocado
Explosiones de combustibles
• Personas:
Procedimientos de evacuación
Personal insuficiente
Personal no confiable
Personal clave
Huelgas, paralizaciones
• Otros:
Vecindades
Actos terroristas
Impacto de vehiculos
Contratos de arrendamiento
Construcciones defectuosas
Instalaciones inadecuadas
• Detectores de agua
• Extintores
• Alarmas de incendio Manuales
• Detectores de humo
• Sistemas de supresión de incendio
• Ubicación estratégica de CC
• Paredes, pisos y cielorrasos a prueba de incendios
• Protectores de voltaje
• UPS
• Cableado estructurado
• Energía de emergencia
Es el grado de
afectación que puede
generar en una
organización la
materialización de un
riesgo.
Frecuencia
Periodos críticos
t máximo de interrupción
Indicadores de gestión
Sistemas de soporte
Modulo V Business Continuity Planning
CUESTIONARIO BIA
Impactos
Financiero Directo
Financiero Indirecto
Cliente Interno
Cliente Externo
Aspectos Legales
Imagen y Reputación
Recursos mínimos
Impacto general
Capacitación
Entrevistas grupales
Entrevistas
personales
Electrónico
Manual
Divulgación Definición
DRP DRP Desarrollo Mantenimiento Pruebas
y e BIA BCP
IT Procesos BCP BCP
conciencia iniciación
Compañía X
• Procedimiento
utilizado para
determinar la
opción costo-
beneficio que mejor
se adapte al nivel
de servicio
establecido por la
organización para
sus procesos
críticos.
• Determinar los
recursos mínimos
necesarios para
operar los procesos
críticos.
• Determinar la mejor
opción de
recuperación.
• Espacio físico
• Computadores
personales
• Aplicaciones
necesarias por equipo
• Elementos de escritorio
• Observaciones
• Independencia geográfica
• Facilidad de traslado y acceso del recurso
humano
• Acceso al cliente (si aplica)
• Facilidad de operación
• Probabilidad de crecimiento
• Condiciones de seguridad
• Esquema de procesamiento en
contingencia.
• Análisis de costo.
• Distribución física (si aplica)
• Fortalezas y debilidades
• Lista de contactos de
proveedores
• Convenios de soporte
• Diagramas de proceso
• Procedimientos de
recuperación de datos
Inicio no
Evaluar y notificar
daños
Requiere si
Notificar los equipos Recuperar el
aplicación de plan de recuperación ambiente normal
de contingencias? afectado
Iniciar recuperación
no
de procesos de
no contingencia Se recuperó
el ambiente
Validar recuperación normal?
de procesos
si
Retornar a
procesamiento
normal
Fin
Modulo V Business Continuity Planning
PROCEDIMIENTO DE EVALUACIÓN Y
NOTIFICACIÓN DE DAÑOS
• Determinar si existe una situación de
emergencia
• Fecha y hora
• Persona que recibió la llamada
• Preguntas:
• Donde podría estar la bomba
• Cuando detonaría
• Apariencia física
• Tipo de bomba (si la suministra
• o se deduce)
• Mecanismo de activación
• Nombre (si lo da), sexo, edad,
• raza, acento
• Tiempo o duración de la llamada
Modulo V Business Continuity Planning
LISTA DE CHEQUEO
AMENAZA DE BOMBA
• Nombre
• Departamento
• Ubicación actual (casa, hospital,
desaparecido)
• Tipo de lesión
• Estado (estable, crítico)
• Familiares contactados
• Nombre
• Función en el equipo
• Proceso
• Fecha/hora
• Hallazgos
• Observaciones
• Recomendaciones
• Física:
– Sección a remplazar
– Revisión realizada
– Fecha de distribución
– Firmas
• Magnética:
– Reemplazo de la versión en la web
– Cambio en el nombre del archivo
– Notificación del cambio (mail, escrito)
Modulo V Business Continuity Planning
Parte 4
TESTING AND
MAINTENANCE
Procedimiento por el
cual se verifica la
operatividad del
plan y se garantiza
la actualización
periódica de los
esquemas de
recuperación.
• Obsolescencia en la relación
personas- elementos de negocio.
– Personal crítico
– Actualización de la información de los
contactos del equipo de recuperación
– Contactos con los proveedores
– Contactos con los clientes
– Listas de empleados
– Números de teléfonos de emergencia
• Desarrollo de
pruebas periódicas
– Evaluar el desarrollo
de la prueba
– Incorporar las
mejoras necesarias
en el plan de
continuidad.
• Función: Corredores de
Bolsa.
• Ubicado a 3 manzanas del
WTC
• Restricción de acceso al
sector
• Corte de fluido eléctrico, funcionamiento autorizado de
plantas eléctricas sin garantizar el permiso para accesar el
combustible
• Corte total de comunicaciones de voz y datos.
• Instalaciones de respaldo
de sistemas ubicada en
Wall Street 75, no
afectadas por el desastre
(aprox. 20 cuadras)
• Sede en desarrollo para
una de las dependencias
de la empresa, proyectada
para entrar en servicio en
6 semanas.
• Utilización adelantada de la
nueva sede, que disponía de
cableado y escritorios.
• Enrutamiento de
comunicaciones
• Trabajo activo de IT 24 h/día
• Acuerdos de provisión de
equipos de computación.
• 17 sept: 100 puestos activos
• 3 oct: 300 puestos activos
• Función: Operación de
mercancías (café, coco,
azúcar, etc)
• Los planes de contingencia
no consideraban la
destrucción a gran escala.
• Existía un punto de reunión
del personal de IT en caso
de desastre cerca del WTC,
el cual se encontraba
destruido.
• Función:
Aseguradora,
American
International Group
• 3r edificio mas alto de Nueva York, a poca distancia del
WTC.
• Algunas copias de respaldo se encontraban en cinta y
fueron olvidadas durante la evacuación.
Modulo V Business Continuity Planning
ACCIONES AIG
• Evacuación de todo el
personal hacia las 3:00
p.m del 11 sept.
• Traslado de todo el
personal de IT (500
personas) a una sede en
el bajo Manhattan.
• Activación de los centros
de respaldo en
Parsippany y SunGard.
• Apoyo de la operación
en las oficinas de
Nueva York, Londres y
Tokio.
• Suministro instantáneo
de estaciones de
trabajo por parte de
Dell.
• Reapertura de la
operación normal el 17
sept/01
• Equipamiento de los
empleados para poder
trabajar desde la casa
mediante PC y
navegadores Web
• Refuerzo de los
planes de seguridad
existentes.
• Evacuación de las 82
personas que
trabajaban en la
empresa.
• Se usaron ocho
sicólogos para atender
el personal.
• Demoró siete días en
trasladarse a la sede
temporal en Jersey City,
y 20 días para poner en
funcionamiento su
plataforma nacional.
Modulo V Business Continuity Planning
ACCIONES TRADEWEB
• Orientación de las
direcciones IP de
Nueva York a
Londres.
• Crear una nueva
conexión de las 13
agencias de
Estados Unidos con
Londres demoró un
mes.
• Identificar las
diferentes
empresas que
manejan las
mismas
plataformas de
comunicacione
s, hardware y
software.
• Es importante tener buenas relaciones con empresas
similares.
• Acuerdos de servicio vigentes con proveedores.
Modulo V Business Continuity Planning
CONCLUSIONES